询问 CISO 为什么他们认为他们的组织中存在网络技能短缺,是什么让他们夜不能寐,或者这个行业面临的最重要的问题是什么——在某些时候,即使这不是第一个回答,他们也会提出预算的问题。
例如,在 RSA 2024 大会上,一场关于网络安全行业面临的问题的圆桌讨论会上,一位 CISO 直言不讳地表示,预算(或预算不足)是最大的问题。这位 CISO 表示,在一切都变得越来越昂贵的时代,安全预算正在被削减。
对于网络安全人才短缺问题,2024年ISC2网络安全劳动力研究指出,“39%的人表示预算不足是网络安全人才短缺的首要原因,取代人才短缺成为之前人员短缺的首要原因。”根据Forrester的2024年网络安全基准全球报告,网络安全预算仅占整个IT预算的5.7%,这使得CISO很难引进合适的人才或升级工具和解决方案。
然而,问题可能并不在于金额,而在于预算的来源。Forrester 报告发现,当网络安全与 IT 挂钩且 CISO 直接向 CIO 报告时,CEO 对网络安全的看法会有所不同;而当 CISO 可以将网络安全视为整体业务运营的重要组成部分并将其直接与业务风险挂钩时,CEO 对网络安全的看法会有所不同。
Louis Columbus 写道:“能够清晰阐述网络安全的商业价值、展示网络安全如何推动收入增长和支持战略目标的 CISO 更有可能获得必要的资金。这种转变也反映出人们越来越认识到网络安全的战略重要性,而不仅仅是 IT 运营。 ”
网络安全资金的关键问题
一旦将网络安全作为业务运营的关键因素而不是 IT 的功能,CEO 和 CISO 在预算方面就更有可能达成共识。
Bugcrowd 首席执行官戴夫·格里 (Dave Gerry) 表示:“安全资金和监督是管理团队和董事会的首要任务。
“网络安全投资的重点是应对我们作为企业所面临的网络威胁、我们已发现并需要补救的 IT 风险,或者我们需要确保的客户和合规义务,”Gerry 补充道。“但从主题上讲,这一切都指向确保我们所存储的数据的机密性、完整性和可用性受到保护——无论是客户、员工还是关键业务合作伙伴的数据,同时反过来支持我们的业务。”
风险优先级和业务连续性是 Critical Start 首席信息安全官乔治·琼斯 (George Jones) 关注的两个关键领域。琼斯表示,连同新兴威胁和漏洞管理,这四个项目是企业安全的支柱,因为它们与总体业务目标和宗旨相一致。
重新调整网络安全投资的驱动因素之一是美国证券交易委员会(SEC) 出台的有关网络安全事件披露的新规定。组织现在还必须分享有关其网络安全风险管理计划的详细信息,尤其是财务信息。
Gerry 表示:“在美国证券交易委员会最近公布指导方针后,董事会比以往任何时候都更加关注降低网络风险,确保充足的资金至关重要,尤其是在组织的攻击面继续迅速扩大的情况下。”
首席信息安全官和首席执行官之间的合作
虽然 CISO 和 CEO(在许多情况下还要与 CFO 一起)必须就网络安全投资建立持续的对话,但他们却带着两种不同的利益参与到谈判中。
Ontinue 首席信息安全官 Gareth Lindahl-Wise 表示:“首席执行官的眼光将集中在确保安全计划能够带来价值,同时对生产力产生的影响可以容忍,但更重要的是寻找竞争优势的潜力。”另一方面,首席信息安全官的方法侧重于风险预防、缓解和解决方案,以满足组织的所有法律、监管和合同义务。
总体目标应该是打造有利于获得或留住客户或吸引投资的安全态势。Lindahl-Wise 表示,最终这些决定权在于 CEO 和董事会。
Lindahl-Wise 补充道:“在资金和风险承受方面,CISO 基本上是专家顾问。如果 CEO 做出了明智且有意识的决定,那么人们应该说 CISO 已经履行了其职责。”
然而,首席执行官 Gerry 表示,资金分配的最终决定是由董事会做出的,并且由首席执行官和 CISO 共同决定在哪里以及进行哪些安全投资。
“这是 CISO 应该向 CEO 汇报并直接与董事会联系的一个关键原因,”Gerry 表示。“虽然安全通常被视为成本中心,但新的现实是,强大的安全计划除了是不断扩大的威胁环境中开展业务的成本之外,还应成为竞争优势和收入推动因素。”
未来属于人工智能
CISO 早已了解AI在网络安全中的作用,尤其是处理一些最平凡的任务,从而让工作繁重的安全团队有时间处理需要亲自管理的问题。随着生成式 AI在工作场所变得无处不在,CEO 也越来越意识到 AI 对业务和安全风险的影响。一些公司开始在其 IT 和安全团队中增加首席 AI 官,但即使他们不是 CEO,也仍然认识到需要将 AI 纳入未来的安全预算。
Keeper Security 首席执行官 Darren Guccione 表示:“随着威胁变得越来越复杂,利用 AI 工具可以让我们增强威胁检测能力、实现响应自动化并改善事件管理。我们需要熟练的专业人员来应对快速发展的威胁形势,并确保我们的 AI 驱动策略保持有效和安全,并且必须考虑预算。”
如何在网络安全预算中定义它取决于如何使用它。它是在商业工具中为提高生产力而进行的 AI 边缘使用,还是在组织的核心产品中嵌入 AI 使用?
Lindahl-Wise 表示:“如果是后者,那么 CEO 必须确信组织拥有管理机遇和风险的正确经验。”至于安全方面,“我的直觉是,在独立的 CAIO 成为常态之前,我们将看到 AI 职责在 CIO/CTO 角色中占有重要地位。”
人工智能可能是最新的技术和安全颠覆者,但绝不会是最后一个。相似之处在于,它既给企业带来风险,也给网络安全带来风险,而风险正是 CEO 和 CISO 作为一个团队将重点投资的地方。
原文链接:https://securityintelligence.com/articles/ciso-vs-ceo-making-case-for-cybersecurity-investments/
— 欢迎关注 往期回顾 —
>>>网络安全等级保护<<<
>>>关键信息基础设施安全保护<<<
>>>数据安全系列<<<
因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历
公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人
一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆
上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!
假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!
网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
>>>其他<<<
网络安全知识:什么是CIA三要素 (机密性、完整性、可用性)?
网络安全知识:什么是基于域的消息认证、报告和一致性 (DMARC)?
